search

Lệnh v-html có thể dẫn đến tấn công xss

Ngày đăng: 23/01/2023
Trả lời: 0
Lượt xem: 188

因为项目之前的代码有用到v-html,在编译后,eslint会提示警告,控制台就会一长串信息,看着极其不舒服。
为了看得顺眼,所以打算把这个警告消除掉。

Show

Lệnh v-html có thể dẫn đến tấn công xss

这里主要介绍的方法是,通过修改eslint的规则去忽略v-html警告。
当然,使用vue是不推荐使用v-html的,会导致xss攻击。
我这里是陈年老代码,没有时间去看之前的页面,为什么需要用到v-html。

参考该链接
https. // eslint. vuejs. org/quy tắc/no-v-html. html
只要在你的. eslintrc. js文件下的rules对象加入"vue/no-v-html". “off” 即可

"vue/no-v-html":"off"

解决所有的警告和报错之后,再编译就能看到清爽的输出啦

Lệnh v-html có thể dẫn đến tấn công xss

项目中某处使用了vue中的 v-html 指令

<div v-if="item.description" class="description" v-html="item.description" />

提交代码进行eslint 检查时报如下警告

15:58  warning  'v-html' directive can lead to XSS attack  vue/no-v-html

什么是 XSS 攻击?

XSS是跨站脚本攻击(Cross-Site Scripting)的简称。

XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中。

当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。

发送到Web浏览器的恶意内容通常采用JavaScript代码片段的形式,但也可能包括HTML,Flash或浏览器可能执行的任何其他类型的代码。

vue官网如下描述v-html

在网站上动态渲染任意 HTML 是非常危险的,因为容易导致 [XSS 攻击]。只在可信内容上使用 

15:58  warning  'v-html' directive can lead to XSS attack  vue/no-v-html
0,永不用在用户提交的内容上。

详细原理见:https. //Blog. csdn. net/lingxiaoxi_ling/article/details/105851736

简单模拟一个:

<template>
	<section>
    	<div v-html='htmlString'></div>
    </section>
</template>

<script>
export default {
  components: {
  },
  data() {
    return {
      htmlString: '
Lệnh v-html có thể dẫn đến tấn công xss
'
    }
  }
}
</script>

运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击。

解决方案两种,推荐法1:

法1:vue-dompurify-html

1. 下载依赖
npm install vue-dompurify-html --save
#or
yarn add vue-dompurify-html
2. chủ yếu. js中引入 vue-dompurify-html 包并挂载到vue原型上
import VueDOMPurifyHTML from 'vue-dompurify-html'
Vue.use(VueDOMPurifyHTML)
// or Vue3
const app = createApp(App)
app.use(VueDOMPurifyHTML)
3. 使用
<div v-if="item.description" class="description" v-dompurify-html="item.description" />

法2:xss

1. 下载依赖
________số 8_______
2. chủ yếu. js中引入xss包并挂载到vue原型上
import xss from 'xss'
Vue.prototype.xss = xss
3. 在vue. cấu hình. js中覆写html指令
  chainWebpack: config => {
    config.module
      .rule('vue')
      .use('vue-loader')
      .loader('vue-loader')
      .tap(options => {
        options.compilerOptions.directives = {
          html(node, directiveMeta) {
            (node.props || (node.props = [])).push({
              name: 'innerHTML',
              value: `xss(_s(${directiveMeta.value}))`
            })
          }
        }
        return options
      })
  }

法3:使 eslint 校验忽略此警告

若是陈年老代码,没有时间去看之前的页面,为什么需要用到v-html。那么我们通过修改eslint的规则去忽略v-html警告。

参考该链接:https. // eslint. vuejs. org/quy tắc/no-v-html. html
只要在你的. eslintrc. js文件下的rules对象加入"vue/no-v-html". “off” 即可

"vue/no-v-html":"off"

là V

Chỉ thị v-html được sử dụng để thay đổi HTML bên trong của phần tử DOM. Công cụ này có vẻ an toàn và thú vị, nhưng đó là điều đầu tiên những kẻ tấn công tìm kiếm khi cố gắng tấn công trang web của bạn .

Vue JS an toàn đến mức nào?

JavaScript do người dùng cung cấp không bao giờ được coi là an toàn 100% trừ khi nó nằm trong iframe hộp cát hoặc trong một phần của ứng dụng mà chỉ người dùng đã viết JavaScript đó mới có thể tiếp xúc với nó. Sometimes we receive vulnerability reports on how it's possible to do cross-site scripting (XSS) in Vue templates.

Chỉ thị Vue là gì?

Vue. js Chỉ thị là thuộc tính HTML đặc biệt cho phép chúng tôi thao tác với DOM . Chỉ thị rất mạnh mẽ và chúng tôi sử dụng chúng hàng ngày. Các chỉ thị phổ biến là v-if , v-for và v-model. Khóa học bao gồm tất cả những gì bạn cần biết để có thể tạo vue tùy chỉnh của riêng bạn.

Vue có chỉ thị không?

Vue. js được đóng gói sẵn với một số lệnh mà các nhà phát triển thường sử dụng khi làm việc trong khuôn khổ. Các chỉ thị như v-if , v-show , v-on , v-model , v-bind , v-html , v.v. đều được cung cấp cho bạn ngay lập tức. Tất cả các chỉ thị được cung cấp này đều bắt đầu bằng v-.

programming html

Bài Viết Liên Quan

Vở nhạc kịch đầu tiên của việt nam là gì năm 2024
Vở nhạc kịch đầu tiên của việt nam là gì năm 2024

là ai Hỏi Đáp Là gì Opera Việt Nam
Top 10 bài hát tuổi thơ đầy kỷ niệm năm 2024
Top 10 bài hát tuổi thơ đầy kỷ niệm năm 2024

mẹo hay Top List Top
Sinh năm 1983 là tuổi con gì năm 2024
Sinh năm 1983 là tuổi con gì năm 2024

là ai
Bùi văn cường chủ tịch tổng lđlđ việt nam năm 2024
Bùi văn cường chủ tịch tổng lđlđ việt nam năm 2024

mẹo hay
Kế toán sản xuất cần làm những gì năm 2024
Kế toán sản xuất cần làm những gì năm 2024

mẹo hay
Bài tập lớn môn định giá tài sản năm 2024
Bài tập lớn môn định giá tài sản năm 2024

mẹo hay Khỏe Đẹp Bài tập Cryto Giá
Mục đích sử dụng đất 2l 19 năm là gì năm 2024
Mục đích sử dụng đất 2l 19 năm là gì năm 2024

là ai Hỏi Đáp Là gì Đất rừng 02
Nhiệt độ trung bình của thành phố vinh năm 2023 năm 2024
Nhiệt độ trung bình của thành phố vinh năm 2023 năm 2024

mẹo hay
Bức họa mona lisa có tên gọi khác là gì năm 2024
Bức họa mona lisa có tên gọi khác là gì năm 2024

là ai Hỏi Đáp Là gì
Tại sao bảng cân đối kế toán không cân năm 2024
Tại sao bảng cân đối kế toán không cân năm 2024

mẹo hay Hỏi Đáp Tại sao
Hoàng sa bị trung quốc chiếm năm nào năm 2024
Hoàng sa bị trung quốc chiếm năm nào năm 2024

mẹo hay
Kc là viết tắt của từ gì năm 2024
Kc là viết tắt của từ gì năm 2024

là ai Kc là gì
Trung tâm sát hạch thuận an bình dương năm 2024
Trung tâm sát hạch thuận an bình dương năm 2024

mẹo hay
Cho thuê văn phòng giá rẻ cầu giấy năm 2024
Cho thuê văn phòng giá rẻ cầu giấy năm 2024

mẹo hay Cryto Giá Mua Sắm Giá rẻ
Kế toán quản trị là một bộ phận kế toán năm 2024
Kế toán quản trị là một bộ phận kế toán năm 2024

mẹo hay
Cách ghi giá khách sạnvnd r n là gì năm 2024
Cách ghi giá khách sạnvnd r n là gì năm 2024

là ai Hỏi Đáp Là gì Mẹo Hay Cách Cryto Giá Net la gì
Lỗi không gửi được tin nhắn trong viber năm 2024
Lỗi không gửi được tin nhắn trong viber năm 2024

mẹo hay
Đăng bố cáo công ty trong tiếng anh là gì năm 2024
Đăng bố cáo công ty trong tiếng anh là gì năm 2024

là ai Hỏi Đáp Là gì Học Tốt Tiếng anh
Tuổi tuất hợp với tuổi nào để mở hàng năm 2024
Tuổi tuất hợp với tuổi nào để mở hàng năm 2024

mẹo hay
Ngành công nghệ hóa học lấy bao nhiêu điểm năm 2024
Ngành công nghệ hóa học lấy bao nhiêu điểm năm 2024

mẹo hay Hỏi Đáp Bao nhiêu Học Tốt Học Công Nghệ Công nghệ D07

Quảng Cáo

Có thể bạn quan tâm

Những lỗi vi phạm bị giữ xe máy năm 2024
1 ngày trước . bởi ExhilaratedSorcery
Tra cứu hóa đơn điện lực gia đình năm 2024
1 ngày trước . bởi InfectiousNylon
Bài tập kiểm toán tài chính có lời giải năm 2024
1 ngày trước . bởi SkittishConcur
Hệ số phụ cấp ưu đãi tiếng anh là gì năm 2024
1 ngày trước . bởi GingerSeriousness
Bộ chứng từ tiêu hủy hàng hỏng của kế toán năm 2024
1 ngày trước . bởi ConvincingDemeanor
Coơ chế tiến hóa của nhóm gen globin ở người năm 2024
1 ngày trước . bởi Well-definedScouring
Các bê tông lấn biển gọi là gì năm 2024
1 ngày trước . bởi QueerBoardroom
Cách thể hiện các tiết trong văn bản hành chính năm 2024
1 ngày trước . bởi NocturnalBaker
Các bài toán tích phân có chứa đạo hàm năm 2024
1 ngày trước . bởi ParchedWeariness
After a long time là dấu hiệu của thì gì năm 2024
1 ngày trước . bởi NutritionalFries

Toplist được quan tâm

#1
Top 9 tập bản đồ lớp 8 bài 31 2023
5 tháng trước
#2
Top 6 kết quả thi hsg đà nẵng 2022 2023
5 tháng trước
#3
Top 9 tủ nhựa đài loan 4 cánh 3d 2023
5 tháng trước
#4
Top 9 chất khí có thể làm mất màu dung dịch nước brom là: a. so2. b. co2. c. o2. d. hcl. 2023
5 tháng trước
#5
Top 8 tìm việc làm tiện, phay bảo q7 2023
5 tháng trước
#6
Top 3 tôi xuyên thành tiểu kiều the của lão đại phản 2 2023
5 tháng trước
#7
Top 9 đổi mới phong cách, thái độ phục vụ của cán bộ y tế hướng tới sự hài lòng của người bệnh 2023
5 tháng trước
#8
Top 2 bài the dục phát triển chung lớp 6 2022 2023
5 tháng trước
#9
Top 3 bài giảng vũ điệu sắc màu (lớp 4) 2023
5 tháng trước

Quảng cáo

Xem Nhiều

Ký hiệu ext trên tay cầm ps4 pro là gì năm 2024
1 tuần trước . bởi OverhangingIceberg
Chuỗi phương trình hóa hữu cơ có lời giải năm 2024
3 ngày trước . bởi BenevolentCondominium
Nghĩa vụ cơ bản của hợp đồng là gì năm 2024
1 tuần trước . bởi Short-termGrandeur
Mục đích sử dụng đất 2l 19 năm là gì năm 2024
1 giờ trước . bởi UnreliableBounds
Lỗi giựt màn hình trong fifa online 3 năm 2024
5 ngày trước . bởi IncrementalDoorstep
Ip6 plus và 6s plus khác nhau như thế nào năm 2024
4 ngày trước . bởi Front-pageNoodle
Top 10 luong cau thu cao nhat the gioi năm 2024
2 ngày trước . bởi OngoingInspiration
Giải toán nâng cao lớp 2 có đáp án năm 2024
6 ngày trước . bởi BrusqueSpoiler
Danh ngôn trong tiếng anh là gì năm 2024
4 ngày trước . bởi MarvelousEmancipation
Bài tập định luật bôi lơ ma ri ốt năm 2024
1 tuần trước . bởi ClandestineMemory

Quảng cáo

Chúng tôi

Điều khoản

Trợ giúp

Mạng xã hội

DMCA.com Protection Status
Bản quyền © 2021 Xây Nhà Inc.